Zbieraj tyle danych, ile potrzebujesz
| Podmiot udostępniający: | Zespół Rzecznika Prasowego Biura GIODO | |
| Wytworzył informację: | Puls biznesu | 2006-08-03 |
| Wprowadził‚ informację: | Robert Czapski | 2006-08-16 15:51:46 |
| Ostatnio modyfikował: | Robert Czapski | 2013-11-28 12:56:59 |
Za łamanie przepisów, określających, jakich informacji można żądać od klientów czy kontrahentów, grożą kary.
"Puls Biznesu": Czym zajmuje się urząd, którym kieruje pan od połowy lipca?
Michał Serzycki, generalny inspektor ochrony danych osobowych: Przede wszystkim mam prawo do kontrolowania zbiorów danych osobowych u przedsiębiorcy będącego ich administratorem, wydaję decyzje administracyjne i rozpatruję skargi w sprawach wykonania przepisów o ochronie danych. Do moich zadań należy na przykład prowadzenie jawnego rejestru zbiorów danych, czy udzielanie informacji o zarejestrowanych zbiorach.
Jakie konkretnie dane osobowe są pod lupą GIODO?
Zarówno zwykłe - imię, nazwisko czy adres, jak i szczególnie chronione, czyli na przykład o stanie zdrowia, wyznaniu czy o kodzie genetycznym. Ochronie podlegają dane znajdujące się zarówno w kartotekach czy księgach, jak i systemach, informatycznych. Nie podlegają ochronie między innymi dane wykorzystywane w celach prywatnych, osobistych lub domowych. Do nich nie stosuje się ustawy. Ponadto jest kategoria danych, które ustawa chroni w sposób ograniczony, na przykład zbiory sporządzane doraźnie, takie jak lista uczestników konferencji naukowej czy lista uczestników wycieczki.
Jakich danych osobowych przedsiębiorcy mogą żądać od klientów i kontrahentów?
Jeśli przedstawiciele firmy zamierzającej uzyskać dane osobowe twierdzą, że są one konieczne do zawarcia lub wykonania umowy z klientem, to mogą od niego żądać potrzebnych danych. Ale ustawa przewiduje stosowanie zasady adekwatności. Uprawnione jest żądanie danych niezbędnych do osiągnięcia celu, w jakim będą wykorzystane. Zakres żądanych danych zatem w dużej mierze zależy od charakteru zawieranej umowy.
Na przykład?
W przypadku zawierania umowy rachunku bankowego bankowi nie jest potrzebna informacja o ilości osób pozostających we wspólnym gospodarstwie domowym z klientem, ale ta sama informacja może być istotna przy zawieraniu umowy kredytowej. Zakres lub cel danych, jakich firmy mogą pozyskiwać od swoich klientów jest często określony w przepisach. Przepisy prawa bankowego upoważniają bank do żądania od klientów danych niezbędnych do zbadania ich zdolności kredytowej.
Uprawnienie do żądania danych - gdy jest to konieczne do realizacji umowy lub podjęcia działań przed jej zawarciem - wynika wprost z art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Zatem, firma nie potrzebuje zgody klienta na ich wykorzystanie. Żądanie takiej dodatkowej zgody jest jednym z błędów najczęściej popełnianych przez administratorów.
Jakie nieprawidłowości popełniają przedsiębiorcy przy przedstawianiu swoim klientom do podpisu klauzul o wyrażenie zgody na przetwarzanie danych osobowych?
Firmy często błędnie umieszczają klauzule w treści umów i klient, chcąc zawrzeć umowę, musi jednocześnie zgodzić się na wykorzystywanie danych na przykład w celach marketingowych. Firmy zapominają również o konieczności dopełnienia innych obowiązków wynikających z ustawy, na przykład takich, że w klauzuli o wyrażenie zgody na przetwarzanie danych osobowych należy podać dokładnie nazwę przedsiębiorcy, adres siedziby, cel przetwarzania i zakres danych, a także, czy i komu zostaną one udostępnione.
Jakie są inne obowiązki administratora bazy danych osobowych?
Przede wszystkim administrator musi zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, chyba że zbiór podlega wyłączeniu z tego obowiązku. Na przykład dzieje się tak, gdy dane przetwarzane są wyłącznie w celu wystawienia faktury czy rachunku.
Do obowiązków administratora należy też stosowanie środków technicznych i organizacyjnych, które zapewnią ochronę przetwarzanych danych osobowych - odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.
Czy przedsiębiorcy mogą sprzedać bazę danych osobowych?
W praktyce nie jest to łatwe. Administrator może ją sprzedać, jeśli zgodzą się na to osoby, których dane znajdują się w bazie. Jednak trudno sobie wyobrazić sytuację, że firma dysponująca zbiorem 10 tysięcy osób będzie od każdej z nich uzyskiwać zgodę. Dlatego warto o tym pomyśleć wcześniej, na etapie tworzenia bazy.
Co grozi przedsiębiorcy za niezgodne z prawem korzystanie z danych osobowych?
Jeśli stwierdzimy, że ktoś wykorzystuje je niezgodnie z ustawą, to nakazujemy przywrócenie stanu zgodnego z prawem. W razie gromadzenia przez firmę zbyt wielu danych, nakazujemy ich usunięcie i ograniczenie ich zakresu. Ponadto do organów ścigania możemy kierować zawiadomienie o popełnieniu przestępstwa. Za nielegalne przetwarzanie grozi grzywna, ograniczenie wolności albo pozbawienie wolności do dwóch lat.
Albert Stawiszyński
łukasz Rzegoczan
"Puls Biznesu": Czym zajmuje się urząd, którym kieruje pan od połowy lipca?
Michał Serzycki, generalny inspektor ochrony danych osobowych: Przede wszystkim mam prawo do kontrolowania zbiorów danych osobowych u przedsiębiorcy będącego ich administratorem, wydaję decyzje administracyjne i rozpatruję skargi w sprawach wykonania przepisów o ochronie danych. Do moich zadań należy na przykład prowadzenie jawnego rejestru zbiorów danych, czy udzielanie informacji o zarejestrowanych zbiorach.
Jakie konkretnie dane osobowe są pod lupą GIODO?
Zarówno zwykłe - imię, nazwisko czy adres, jak i szczególnie chronione, czyli na przykład o stanie zdrowia, wyznaniu czy o kodzie genetycznym. Ochronie podlegają dane znajdujące się zarówno w kartotekach czy księgach, jak i systemach, informatycznych. Nie podlegają ochronie między innymi dane wykorzystywane w celach prywatnych, osobistych lub domowych. Do nich nie stosuje się ustawy. Ponadto jest kategoria danych, które ustawa chroni w sposób ograniczony, na przykład zbiory sporządzane doraźnie, takie jak lista uczestników konferencji naukowej czy lista uczestników wycieczki.
Jakich danych osobowych przedsiębiorcy mogą żądać od klientów i kontrahentów?
Jeśli przedstawiciele firmy zamierzającej uzyskać dane osobowe twierdzą, że są one konieczne do zawarcia lub wykonania umowy z klientem, to mogą od niego żądać potrzebnych danych. Ale ustawa przewiduje stosowanie zasady adekwatności. Uprawnione jest żądanie danych niezbędnych do osiągnięcia celu, w jakim będą wykorzystane. Zakres żądanych danych zatem w dużej mierze zależy od charakteru zawieranej umowy.
Na przykład?
W przypadku zawierania umowy rachunku bankowego bankowi nie jest potrzebna informacja o ilości osób pozostających we wspólnym gospodarstwie domowym z klientem, ale ta sama informacja może być istotna przy zawieraniu umowy kredytowej. Zakres lub cel danych, jakich firmy mogą pozyskiwać od swoich klientów jest często określony w przepisach. Przepisy prawa bankowego upoważniają bank do żądania od klientów danych niezbędnych do zbadania ich zdolności kredytowej.
Uprawnienie do żądania danych - gdy jest to konieczne do realizacji umowy lub podjęcia działań przed jej zawarciem - wynika wprost z art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Zatem, firma nie potrzebuje zgody klienta na ich wykorzystanie. Żądanie takiej dodatkowej zgody jest jednym z błędów najczęściej popełnianych przez administratorów.
Jakie nieprawidłowości popełniają przedsiębiorcy przy przedstawianiu swoim klientom do podpisu klauzul o wyrażenie zgody na przetwarzanie danych osobowych?
Firmy często błędnie umieszczają klauzule w treści umów i klient, chcąc zawrzeć umowę, musi jednocześnie zgodzić się na wykorzystywanie danych na przykład w celach marketingowych. Firmy zapominają również o konieczności dopełnienia innych obowiązków wynikających z ustawy, na przykład takich, że w klauzuli o wyrażenie zgody na przetwarzanie danych osobowych należy podać dokładnie nazwę przedsiębiorcy, adres siedziby, cel przetwarzania i zakres danych, a także, czy i komu zostaną one udostępnione.
Jakie są inne obowiązki administratora bazy danych osobowych?
Przede wszystkim administrator musi zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, chyba że zbiór podlega wyłączeniu z tego obowiązku. Na przykład dzieje się tak, gdy dane przetwarzane są wyłącznie w celu wystawienia faktury czy rachunku.
Do obowiązków administratora należy też stosowanie środków technicznych i organizacyjnych, które zapewnią ochronę przetwarzanych danych osobowych - odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.
Czy przedsiębiorcy mogą sprzedać bazę danych osobowych?
W praktyce nie jest to łatwe. Administrator może ją sprzedać, jeśli zgodzą się na to osoby, których dane znajdują się w bazie. Jednak trudno sobie wyobrazić sytuację, że firma dysponująca zbiorem 10 tysięcy osób będzie od każdej z nich uzyskiwać zgodę. Dlatego warto o tym pomyśleć wcześniej, na etapie tworzenia bazy.
Co grozi przedsiębiorcy za niezgodne z prawem korzystanie z danych osobowych?
Jeśli stwierdzimy, że ktoś wykorzystuje je niezgodnie z ustawą, to nakazujemy przywrócenie stanu zgodnego z prawem. W razie gromadzenia przez firmę zbyt wielu danych, nakazujemy ich usunięcie i ograniczenie ich zakresu. Ponadto do organów ścigania możemy kierować zawiadomienie o popełnieniu przestępstwa. Za nielegalne przetwarzanie grozi grzywna, ograniczenie wolności albo pozbawienie wolności do dwóch lat.
Albert Stawiszyński
łukasz Rzegoczan



